有关沙丁鱼流量联盟的分析

无意间听到沙丁鱼流量联盟这款软件，说是一款流氓软件。其实这并没有什么奇怪的，但说里面有个 firefox.exe 进程，而且网上有关对它的讨伐也引到 firefox 的身上的。作为一名 firefox 爱好者，有点好奇这款软件是调用了 firefox，还是假冒 firefox 来行骗，于是就有了下面的关于该软件的分析：

到官方网址（http://www.virtualvisit.cn/）下载了该软件回来，是一个 RAR 压缩包，解压后有一个 VVisit.exe 的可执行程序及一个 browser 的文件夹，打开 browser 文件夹，里面发现了一个 firefox.exe 的可执行程序，而且该文件夹的目录结构与 firefox 的基本一样，这基本可以确定是 firefox 软件了。查看了 firefox.exe 的相关信息，里面显示的版本信息了 3.0.19，核心版本是 1.9.0.3779。这是一个 firefox 3.0（够老了）。

于是创建一个快捷方式，准备试试看能不能直接启动 firefox。启动后发现无窗口显示，但在进程管理器里发现了 firefox.exe 进程，而且配置文件也已创建，说明启动正常了。

于是使用 XueTr 来查看其进程的窗口，发现全部窗口都是隐藏的，其中包括窗口类名为“MozillaUIWindowClass”、窗口标题为“Firefox 已升级 - Mozilla Firefox”的主窗口，于是尝试修改其窗口可见性，但无法修改该值，猜测是修改了 firefox 的源代码并重新编译了（从 firefox.exe 无数字签名也佐证了这点）。

在 browser 文件夹里有两个比较陌生的子文件夹（appdata、pxy），发现其中的 appdata 是一个存放 fiefox 配置文件的文件夹，而另一个是 Privoxy 的代理软件（里面没有可执行文件，与 Privoxy 相比较，发现是将 privoxy.exe 改成了 privoxy.dll，估计又是将 privoxy 源代码修改后重新编译的吧，并且在 VVisit.exe 中发现了字符串“privoxy.dll”）。

在配置文件夹的扩展目录里，发现了一个名为 vvisit@www.virtualvisit.cn 的扩展。这里就不多做分析了，扩展里的源代码有非常明析的注释，有兴趣的可以去看下。 从以上信息，不难看出。该软件的原理是通过调用 firefox 来打开广告（或其他）链接来获得流量。privoxy 没有用过不是很清楚，猜测可以是用来过滤掉一些不愿通过 firefox 来获得流量的网址吧。